Microsoft Entra Connect 单一对象同步
Microsoft Entra Connect 单对象同步工具是一个 PowerShell cmdlet,可用于将单个对象从 Active Directory 同步到 Microsoft Entra ID。 生成的报表可用于调查和排查每个对象的同步问题。
注意
该工具支持从 Active Directory 到 Microsoft Entra ID 的同步。 它不支持从 Microsoft Entra ID 到 Active Directory 的同步。
该工具支持同步对象修改添加和更新。 它不支持同步对象修改删除。
工作原理
单一对象同步工具需使用 Active Directory 可分辨名称作为输入,来查找用于导入的源连接器和分区。 它将更改导出到 Microsoft Entra ID。 该工具生成类似于 provisioningObjectSummary 资源类型的 JSON 输出。
单一对象同步工具执行以下步骤:
- 确定对象的(源)域(Active Directory 连接器和分区)是否在同步范围内。
- 确定对象的(目标)域(Microsoft Entra 连接器和分区)是否在同步范围内。
- 确定对象的组织单位是否在同步范围内。
- 确定是否可以使用连接器帐户凭据访问对象。
- 确定对象的类型是否在同步范围内。
- 确定当启用了组筛选时对象是否在同步范围内。
- 将对象从 Active Directory 导入到 Active Directory 连接器空间。
- 将对象从 Microsoft Entra ID 导入到 Microsoft Entra 连接器空间。
- 同步 Active Directory 连接器空间中的对象。
- 将对象从 Microsoft Entra 连接器空间导出到 Microsoft Entra ID。
除 JSON 输出外,该工具还会生成 HTML 报表,其中包含同步操作的所有详细信息。 该 HTML 报表位于 C:\ProgramData\AADConnect\ADSyncObjectDiagnostics\ ADSyncSingleObjectSyncResult-<date>.htm 中。 此 HTML 报表可以与支持团队共享,以便根据需要进行进一步的故障排除。
HTML 报表包含以下内容:
| 选项卡 | 说明 |
|---|---|
| 步骤 | 概述同步对象所要执行的步骤。 每个步骤包含故障排除详细信息。 导入、同步和导出步骤包含其他特性信息,如名称、是否为多值、类型、值、值添加、值删除、操作、同步规则、映射类型和数据源。 |
| 故障排除和建议 | 提供错误代码和原因。 仅当发生失败时,才提供错误信息。 |
| 修改后的属性 | 显示旧值和新值。 如果没有旧值或者已删除新值,则该单元格为空。 对于多值特性,它会显示计数。 属性名称是指向“步骤”选项卡的链接:将对象从 Microsoft Entra 连接器空间导出到 Microsoft Entra ID:“属性信息”包含属性的其他详细信息,例如名称、多值、类型、值、值添加、值删除、操作、同步规则、映射类型、数据源。 |
| 总结 | 概述发生的情况,并提供源系统和目标系统中对象的标识符。 |
先决条件
若要使用单一对象同步工具,需要使用以下工具:
- Microsoft Entra Connect 2021 年 3 月版本 (1.6.4.0) 或更高版本。
- PowerShell 5.0
运行单一对象同步工具
若要运行单一对象同步工具,请执行以下步骤:
使用“以管理员身份运行”选项,在 Microsoft Entra Connect 服务器上打开一个新的 Windows PowerShell 会话。
将执行策略设置为 RemoteSigned 或 Unrestricted。
确认没有同步操作正在运行后,禁用同步计划程序。
Set-ADSyncScheduler -SyncCycleEnabled $false导入 AdSync 诊断模块
Import-module -Name "C:\Program Files\Azure AD Sync\Bin\ADSyncDiagnostics\ADSyncDiagnostics.psm1"调用单一对象同步 cmdlet。
Invoke-ADSyncSingleObjectSync -DistinguishedName "CN=testobject,OU=corp,DC=contoso,DC=com" | Out-File -FilePath ".\output.json"重新启用同步计划程序。
Set-ADSyncScheduler -SyncCycleEnabled $true
| 单一对象同步输入参数 | 说明 |
|---|---|
| DistinguishedName | 这是一个必需的字符串参数。 这是需要进行同步和故障排除的 Active Directory 对象的可分辨名称。 |
| StagingMode | 这是一个可选的开关参数。 此参数可用于阻止将更改导出到 Microsoft Entra ID 的操作。 注意:cmdlet 将提交同步操作。 注意:Microsoft Entra Connect 暂存服务器不会将更改导出到 Microsoft Entra ID。 |
| NoHtmlReport | 这是一个可选的开关参数。 此参数可用于阻止生成 HTML 报表的操作。 |
单一对象同步限制
单一对象同步工具用于调查和排查每个对象的同步问题。 它并不用于取代计划程序运行的同步周期。 从 Microsoft Entra ID 导入和导出到 Microsoft Entra ID 受限制约束。 如果达到限制,请在 5 分钟后重试。